Lorsque la charge de travail devient un risque pour la sécurité

Le travail dans le domaine de la cybersécurité est très stressant. Les spécialistes sont soumis à une pression immense pour repousser les attaques et garantir la sécurité de l’entreprise. Mais ce stress élevé peut avoir des conséquences graves, tant pour le personnel que pour la sécurité. Comment les entreprises peuvent-elles y remédier?

Avril 2025, texte Andreas Heer           4 min.

La cybersécurité est devenue une nécessité dans le monde des affaires d’aujourd’hui – et un travail stressant. De nouvelles réglementations et formes d’attaques augmentent sans cesse les exigences en matière de défense informatique. Les spécialistes de la sécurité qui travaillent dans les centres de sécurité des opérations (SOC) sont submergés de messages d’alerte. Et en cas d’attaque sérieuse, ces professionnels en cybersécurité ne peuvent pas non plus éteindre leur ordinateur portable à 17 heures et terminer leur journée de travail comme le font de nombreux autres employés de bureau. Après tout, c’est la sécurité de l’entreprise qui est en jeu et pas seulement le fait de terminer une présentation PowerPoint.

La cybersécurité, un travail stressant

Il n’est pas surprenant que de nombreux professionnels veuillent quitter cet environnement stressant. Selon un sondage de Bitdefender, plus de la moitié d’entre eux ont dit vouloir chercher un autre emploi. De plus, une étude récente de Tines a révélé que deux tiers des participants ont signalé des niveaux de stress significatifs, une tendance à la hausse. Le stress ne s’arrête pas non plus à l’étage de la direction: selon le rapport CISO de Nominet, plus de 90% des CISO ont indiqué souffrir de stress modéré ou élevé.

Les causes de cette situation sont multiples:

  • Le suivi en continu de milliers d’alertes de sécurité entraîne une «fatigue d’alerte» et une surcharge cognitive. Cette dernière désigne une situation dans laquelle une personne est submergée par plus d’informations ou de tâches qu’elle ne peut en traiter.
  • Si des postes ne peuvent pas être pourvus, le personnel en place doit se répartir le travail. Conjuguée à la pression mentale, cette situation est à l’origine d’une charge de travail élevée.
  • Des ressources inexistantes ou limitées entraînent un manque de moyens techniques pour automatiser certaines tâches, améliorer la cyberdéfense et alléger la charge de travail des spécialistes.
  • Compte tenu de l’évolution des profils de menace(ouvre une nouvelle fenêtre), les professionnels doivent se former en permanence, en plus d’être soumis à une charge de travail élevée, ce qui contribue également à la surcharge cognitive.

La charge de travail, un risque pour la sécurité

Les épisodes de cette situation professionnelle vont du stress persistant au burn out. La menace pour la santé psychique représente un risque pour les individus, mais aussi pour l’entreprise. En effet, des collaborateurs stressés et surchargés sont plus enclins à commettre des erreurs. Dans les cas les plus graves, cela peut mener à l’ignorance des alertes de sécurité, permettant ainsi une cyberattaque. En outre, les cybercriminels exploitent la situation à leur avantage en pratiquant l’ingénierie sociale afin d’accéder aux accès des spécialistes, qui disposent généralement de droits étendus.

Découvrez les tendances actuelles en matière de cybersécurité et les menaces à prendre en compte.

«Une organisation stressée et fatiguée est un vecteur d’attaque.»

Marcus Beyer, expert Security Awareness chez Swisscom

Marcus Beyer, expert Security Awareness chez Swisscom, souligne donc l’importance de la vigilance et de la sécurité psychologique, notamment chez les spécialistes en sécurité: «Il est évident pour nous tous que le stress augmente la probabilité d’erreurs.» La responsabilité et les conséquences des erreurs sont en effet plus graves dans le domaine de la cybersécurité que dans de nombreux autres rôles: «La pression qui pèse sur les spécialistes est énorme», déclare Marcus Beyer. «La direction s’attend à ce que l’entreprise soit protégée. Il y a aussi les cybercriminels qui ne dorment pas et qui sont constamment à la recherche de nouveaux vecteurs d’attaque.»

La résilience comme objectif

Les entreprises doivent relever ces défis. En effet, de bonnes conditions de travail et des professionnels motivés et en bonne santé constituent une pièce importante du puzzle pour maintenir la cyberdéfense à un niveau élevé et éviter les départs. Marcus Beyer propose donc de développer des programmes de vigilance ciblés et des mesures de sécurité psychologique pour les collaborateurs travaillant dans le domaine de la cybersécurité: «Une organisation stressée et fatiguée est un vecteur d’attaque.»

Cependant la vigilance ne suffit pas à résoudre les problèmes. Les cadres et les responsables RH doivent créer un environnement psychologiquement sûr dans lequel les employés n’hésitent pas à parler des erreurs, de la surcharge et du stress. Cela exige un climat de confiance. «La sécurité psychologique favorise en outre la cohésion et encourage l’innovation», déclare Marcus Beyer. «C’est particulièrement important dans la cybersécurité, qui est marquée par une mutation constante.»

«En matière de sécurité physique ou de sécurité au travail, les méthodes et mesures qu’il faut prendre sont connues depuis longtemps», poursuit Marcus Beyer. «Nous devons toutefois les appliquer à la cybersécurité, où les risques sont plutôt psychiques que physiques.» Il faut d’abord comprendre quels sont les risques et quelles sont les attentes des professionnels de la cybersécurité en matière de santé au travail.

Dans ce contexte, la résilience est un terme clé, et ce à plusieurs niveaux. La résilience organisationnelle fait référence à la capacité d’une organisation à s’adapter aux changements et aux perturbations. La résilience psychologique, quant à elle, désigne la capacité d’une personne à s’adapter avec succès à la vie (professionnelle).

Marcus Beyer souligne que la résilience est une capacité qui peut être apprise tant par les individus que les organisations. «Pour moi, la fragilité de l’organisation du travail est le résultat d’un manque de sécurité psychologique et de vigilance», explique-t-il. «La vigilance peut contribuer à réduire le stress et donc le risque d’erreurs.»

Le début de la cyberrésilience chez les spécialistes

La santé mentale des spécialistes en cybersécurité est un facteur décisif pour la sécurité de l’infrastructure numérique d’une organisation. Il est donc important d’adopter des mesures ciblées pour favoriser le bien-être mental des collaborateurs. La vigilance et la sécurité psychologique jouent un rôle central dans cette démarche. Comme le souligne Marcus Beyer: «Il est essentiel d’accorder une attention particulière à l’organisation du travail afin de maîtriser les contraintes liées à la cybersécurité. C’est la solution pour éviter une main-d’œuvre vulnérable.»

Une organisation du travail qui intègre des pratiques de vigilance au quotidien inclut des sujets comme le bien-être mental, la concentration et l’attention au travail, ainsi qu’une prise de décision consciente. Toutes ces méthodes sont légitimes, également en dehors du domaine de la cybersécurité et y sont souvent utilisées. Il s’agit désormais de les appliquer aux professionnels de la cybersécurité.

Autres articles